L’incident

Homewood Santé a été victime d’un incident de cybersécurité criminel survenu en mars 2021 consistant en l’accès non autorisé aux renseignements personnels d’une partie de la clientèle de son Programme d'aide aux employées et à leur famille (PAEF). Homewood Santé a appris que les données de l'un de ses serveurs de fichiers avaient été obtenues illégalement et mises en vente sur un marché clandestin. Elle en a informé sa clientèle en juillet 2021 lorsqu'elle a découvert l'incident, et a ouvert une enquête.

Assistée de spécialistes en cybersécurité tiers, Homewood Santé a immédiatement pris des mesures visant à contenir l'incident et à vérifier si les données volées avaient été sécuritairement détruites. Elle en a également avisé les forces de l'ordre et les commissaires à la protection de la vie privée partout au Canada.

Homewood Santé travaille encore de concert avec des spécialistes en cybersécurité et en protection de la vie privée ainsi qu’avec les autorités compétentes pour mener une enquête et une évaluation approfondies de cet incident et pour guider leurs initiatives de remédiation.

Comment savoir si j’ai été victime d’une usurpation d’identité?

Pour savoir si vos renseignements personnels ont été consultés illégalement, veuillez remplir notre formulaire de demande sécurisé et confidentiel ou appeler notre Bureau de la protection des renseignements personnels, par téléphone au numéro 1 800 265-8310, poste 32443, ou par courriel à l’adresse (privacy@homewoodhealth.com).

Comment fonctionne le processus de demande de vérification confidentielle?

Il vous sera demandé de confirmer votre identité, soit votre nom, le nom de votre employeur, votre date de naissance et vos coordonnées.

• Veuillez noter que vous ne pouvez demander cette vérification qu’en votre nom personnel. Chaque personne qui souhaite obtenir de l’information sur la fuite éventuelle de ses renseignements personnels doit communiquer elle-même avec Homewood Santé.

• Si vous agissez à titre de mandataire ou de représentante autorisée d’une autre personne (une mineure par exemple), veuillez communiquer avec notre Bureau de la protection des renseignements personnels, par téléphone au numéro 1 800 265-8310, poste 32443, ou par courriel à l’adresse (privacy@homewoodhealth.com).

Une fois que nous aurons vérifié votre identité, nous pourrons vous dire si vos renseignements personnels ou ceux de votre personne à charge ont été compromis ou non.

Si vous communiquez avec nous par téléphone par le biais de notre ligne confidentielle, nos agentes vous diront immédiatement si vos données ont été compromises. Le cas échéant, vous en recevrez la confirmation par écrit dans une semaine environ suivant votre appel. Cette confirmation comprendra des renseignements sur l'incident et la nature des renseignements personnels concernés, ainsi que des coordonnées pertinentes, la procédure à suivre pour déposer une plainte et des renseignements sur des services de surveillance des cotes de crédit et de protection de l’identité. Notre offre de surveillance expire le 30 novembre 2022.

Si vous faites votre demande par le biais de notre formulaire sécurisé en ligne, vous recevrez une réponse par écrit dans une semaine environ suivant votre appel. Si vos données ont été compromises, nous vous transmettrons de l’information sur l'incident et la nature des renseignements personnels concernés, ainsi que des coordonnées pertinentes, la procédure à suivre pour déposer une plainte et des renseignements sur des services de surveillance des cotes de crédit et de protection de l’identité. Notre offre de surveillance expire le 30 novembre 2022.

Qu'a fait Homewood Santé depuis qu’elle a pris connaissance de cet incident?

Homewood Santé a pris trois importantes mesures : premièrement, elle protégé ses systèmes contre toute autre attaque éventuelle afin de garantir la confidentialité de vos renseignements personnels. Ensuite, elle a mené une enquête approfondie pour savoir ce qui s’était passé et identifier les personnes susceptibles d'avoir été touchées afin de les aviser de l’incident. Enfin, elle a amélioré ses processus, systèmes et formations pour se prémunir contre ce type d'attaque à l'avenir.

Cet incident a-t-il touché d'autres services de Homewood à part son PAEF?

Non. La brèche de sécurité ne concerne que les services offerts dans le cadre de notre PAEF, et seulement certains clients et clientes. Rien n’indique l’occurrence d’un accès non autorisé aux renseignements personnels relatifs aux établissements de traitement de Homewood ou à ses autres programmes et services. 

Le risque est-il encore présent?

Homewood Santé a mis en place des mesures de surveillance et de sécurité supplémentaires de ses données contre toute activité illégale. Elle a également pris soin de vérifier que la destruction sécurisée des données auxquelles les malfaiteurs ont eu accès a bel et bien été effectuée. Nous n’avons relevé depuis aucune occurrence de divulgation ou d'utilisation abusive de renseignements personnels. Homewood Santé continue toutefois de surveiller la situation de près et fera part de tout changement à cet égard aux personnes concernées. Sur la base des efforts entrepris par Homewood Santé et ses spécialistes tiers en cybersécurité, il y a lieu de croire qu’un tel risque est faible.

Y a-t-il un risque d'usurpation d'identité?

Il n'est pas dans les habitudes de Homewood Santé de recueillir, dans le cadre des services de son programme d'aide aux employées et à leur famille, des renseignements personnels de nature financière ou gouvernementale tels que le numéro d'assurance sociale, les fiches de cartes de crédit ou de cartes d’assurance-maladie, lesquels sont le type de renseignements susceptibles d’augmenter le risque de vol d'identité. Cependant, Homewood Santé vous offre, à vous et aux membres de votre famille touchés par cet incident et inquiets à ce sujet, un service de surveillance de l'identité et de la cote de crédit pendant deux ans. Notre offre de surveillance expire le 30 novembre 2022.

Que fait Homewood Santé pour protéger les personnes touchées?

Homewood offre à toute personne dont les données ont été compromises des services de protection de l'identité et de surveillance du crédit pendant deux ans. Elle leur fournira à cette fin un code d'accès et des instructions sur la façon d'activer cette protection. Notre offre de surveillance expire le 30 novembre 2022.

Que fait Homewood Santé pour éviter qu’un tel incident ne se reproduise?

La confidentialité et la protection des renseignements personnels de notre clientèle demeurent notre priorité absolue. Homewood Santé offre des formations et a pris des mesures de surveillance et de sécurité supplémentaires pour renforcer davantage ses protections en matière de cybersécurité contre toute activité illégale.

Pourquoi Homewood Santé ne communique-t-elle pas directement avec les personnes concernées?

Pour plusieurs raisons. D’abord, étant donné la nature confidentielle des services du PAEF, on craint que le fait de communiquer directement avec les individus concernés puisse en fait leur être préjudiciable. La réception d'une lettre, d'un courriel ou d'un appel téléphonique risque de porter atteinte à la vie privée d'une personne, car elle pourrait faire savoir aux membres de sa famille ou à d'autres que cette personne a fait appel aux services de Homewood Santé. Dans des cas extrêmes, la divulgation de cette information à la maison pourrait exposer le client ou la cliente à des actes de violence physique ou psychologique. Ensuite, Homewood n’a accès qu’à des coordonnées très limitées par le biais de son PAEF, et aucun moyen de savoir si cette information est à jour. Compte tenu de ces circonstances, Homewood a consulté les commissaires à la protection de la vie privée de plusieurs régions, lesquels se sont montrés favorables à son approche de notification indirecte.

À qui dois-je m’adresser si j'ai d’autres questions au sujet de cet incident?

Communiquez avec notre Bureau de la protection des renseignements personnels, par téléphone au numéro 1 800 265-8310, poste 32443, ou par courriel à l’adresse (privacy@homewoodhealth.com).